เอกสารแนบท้ายประกาศ...

26
เอกสารแนบท้ายประกาศ เรื่อง นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ สานักงานศึกษาธิการภาค 4 พ.ศ. 2557 กลุ่มข้อมูลและสารสนเทศ สานักงานศึกษาธิการภาค 4 สานักงานปลัดกระทรวงศึกษาธิการ

Transcript of เอกสารแนบท้ายประกาศ...

Page 1: เอกสารแนบท้ายประกาศ ...203.159.216.99/web/images/download/REO4-ict02.pdf · เอกสารแนบท้ายประกาศ เรื่อง

เอกสารแนบทายประกาศ

เรอง นโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ส านกงานศกษาธการภาค 4 พ.ศ. 2557

กลมขอมลและสารสนเทศ ส านกงานศกษาธการภาค 4

ส านกงานปลดกระทรวงศกษาธการ

Page 2: เอกสารแนบท้ายประกาศ ...203.159.216.99/web/images/download/REO4-ict02.pdf · เอกสารแนบท้ายประกาศ เรื่อง

สารบญ หนา

สวนท 1 นโยบายควบคมการเขาถงและการใชงานระบบสารสนเทศ 1 1. การควบคมการเขาถงและใชงานสารสนเทศ 1 2. การบรหารจดการการเขาถงของผใชงาน 2 3. การก าหนดหนาทความรบผดชอบของผใชงาน 4 4. การควบคมการเขาถงเครอขาย 6 5. การควบคมการเขาถงระบบปฏบตการ 8 6. การควบคมการเขาถงโปรแกรมประยกตหรอแอพพลเคชนและสารสนเทศ 10 7. การควบคมการเขาถงระบบเครอขายไรสาย 10 8. การรกษาความมนคงปลอดภยทางดานกายภาพและสงแวดลอม 11 9. การเขาถงเครองคอมพวเตอรแมขาย 13 10. การใชงานเครองคอมพวเตอรสวนบคคลและเครองคอมพวเตอรแบบพกพา 15 11. การบรหารจดการการเขาถงขอมลตามระดบชนความลบ 16 12. การควบคมการใชงานระบบจดหมายอเลกทรอนกส 17 13. การใชงานระบบอนเทอรเนต 17 14. การใชงานเครอขายสงคมออนไลน 18 15. การจดเกบขอมลจราจรคอมพวเตอร 18

สวนท 2 นโยบายระบบสารสนเทศและระบบส ารองของสารสนเทศ 20 สวนท 3 นโยบายการตรวจสอบและประเมนความเสยงดานสารสนเทศ 22 สวนท 4 นโยบายการสรางความรความเขาใจในการใชระบบสารสนเทศและระบบคอมพวเตอร 24

Page 3: เอกสารแนบท้ายประกาศ ...203.159.216.99/web/images/download/REO4-ict02.pdf · เอกสารแนบท้ายประกาศ เรื่อง

สวนท 1 นโยบายควบคมการเขาถงและการใชงานระบบสารสนเทศ

วตถประสงค

1. เพอใหมแนวทางปฏบตในการรกษาความมนคงปลอดภยส าหรบการควบคมการเขาถงและการใชงานระบบสารสนเทศของหนวยงาน

2. เพอใหผรบผดชอบและผมสวนเกยวของ ไดแก ผบรหาร ผใชงาน ผดแลระบบ และบคคลภายนอกทปฏบตงานใหกบหนวยงาน ไดรบรเขาใจและสามารถปฏบตตามแนวทางทก าหนดโดยเครงครด และตระหนกถงความส าคญของการรกษาความมนคงปลอดภย

ผรบผดชอบ

1. กลมขอมลและสารสนเทศ 2. ผดแลระบบทไดรบมอบหมาย

อางองมาตรฐาน - มาตรฐานการรกษาความมนคงปลอดภยในการประกอบธรกรรมทางอเลกทรอนกส (เวอรชน 2.5)

แนวปฏบต

1. การควบคมการเขาถงและใชงานสารสนเทศ (access control) 1.1 จดท าบญชทรพยสน หรอ ทะเบยนทรพยสน การจ าแนกกลมทรพยากรของระบบ หรอ

การท างาน โดยใหก าหนดกลมผใชงานและสทธของกลมผใชงาน 1.2 ก าหนดเกณฑในการอนญาตใหเขาถงการใชงานสารสนเทศ ทเกยวของกบการอนญาต

การก าหนดสทธ หรอการมอบอ านาจ ดงน (1) ก าหนดสทธของผใชงานแตละกลมทเกยวของ เชน

- อานอยางเดยว - สรางขอมล - ปอนขอมล - แกไข - อนมต - ไมมสทธ

(2) ก าหนดเกณฑการระงบสทธ มอบอ านาจ ใหเปนไปตามการบรหารจดการการเขาถงของผใชงาน (user access management) ทไดก าหนดไว

(3) ผใชงานทตองการเขาใชงานระบบสารสนเทศของหนวยงานจะตองขออนญาตเปนลายลกษณอกษรและไดรบการพจารณาอนญาตจากผอ านวยการกลมขอมลและสารสนเทศหรอผดแลระบบทไดรบมอบหมาย

1.3 ขนตอนปฏบตเพอการจดเกบขอมล (1) จดแบงประเภทของขอมล ออกเปน

- ขอมลสารสนเทศดานการบรหาร เชน ขอมลนโยบาย ขอมลยทธศาสตร และ ค ารบรอง ขอมลบคลากร ขอมลงบประมาณการเงนและบญช เปนตน

Page 4: เอกสารแนบท้ายประกาศ ...203.159.216.99/web/images/download/REO4-ict02.pdf · เอกสารแนบท้ายประกาศ เรื่อง

- 2 -

- ขอมลสารสนเทศดานการการศกษาทใหบรการ เชน ขอมลดชนทางการศกษา ขอมลพนฐานดานการศกษา ขอมลวเคราะหเปรยบเทยบผลสมฤทธทางการศกษา เปนตน

(2) จดแบงระดบความส าคญของขอมล ออกเปน 3 ระดบ คอ - ขอมลทมระดบความส าคญมากทสด - ขอมลทมระดบความส าคญปานกลาง - ขอมลทมระดบความส าคญนอย

(3) จดแบงล าดบชนความลบของขอมล - ขอมลลบทสด หมายถง หากเปดเผยทงหมดหรอเพยงบางสวนจะกอใหเกดความ

เสยหายอยางรายแรงทสด - ขอมลลบมาก หมายถง หากเปดเผยทงหมดหรอเพยงบางสวนจะกอใหเกดความ

เสยหายอยางรายแรง - ขอมลลบ หมายถง หากเปดเผยทงหมดหรอเพยงบางสวนจะกอใหเกดความ

เสยหาย - ขอมลทวไป หมายถง ขอมลทสามารถเปดเผยหรอเผยแพรทวไปได

(4) จดแบงระดบชนการเขาถง - ระดบชนส าหรบผบรหาร - ระดบชนส าหรบผใชงานทวไป - ระดบชนส าหรบผดแลระบบหรอผทไดมอบหมาย

(5) การก าหนดเวลาทไดเขาถง (6) การก าหนดจ านวนชองทางทสามารถเขาถง

1.4 มขอก าหนดการใชงานตามภารกจ เ พอควบคมการเขาถงสารสนเทศ (business requirements for access control) โดยแบงการจดท าขอปฏบตเปน 2 สวน คอ

(1) มการควบคมการเขาถงสารสนเทศ โดยใหก าหนดแนวทางการควบคมการเขาถงระบบสารสนเทศ และสทธทเกยวของกบระบบสารสนเทศ

(2) มการปรบปรงใหสอดคลองกบขอก าหนดการใชงานตามภารกจและขอก าหนดดานความมนคงปลอดภย

2. การบรหารจดการการเขาถงของผใชงาน (user access management) เพอควบคมการเขาถงระบบสารสนเทศเฉพาะผทไดรบอนญาตแลว และผานการฝกอบรมหลกสตร

การสรางความตระหนกเรองความมนคงปลอดภยสารสนเทศ (information security awareness training) เพอปองกนการเขาถงจากผซงไมไดรบอนญาต อยางนอยดงน

2.1 มการก าหนดหลกสตรฝกอบรมเกยวกบการสรางความตระหนกเรองความมนคงปลอดภยสารสนเทศ (information security awareness training)

2.2 ฝกอบรมใหความรความเขาใจกบผใชงาน เพอใหเกดความตระหนก ความเขาใจถงภยและผลกระทบทเกดจากการใชงานระบบสารสนเทศโดยไมระมดระวงหรอรเทาไมถงการณ รวมถงก าหนดใหมมาตรการเชงปองกนตามความเหมาะสม

Page 5: เอกสารแนบท้ายประกาศ ...203.159.216.99/web/images/download/REO4-ict02.pdf · เอกสารแนบท้ายประกาศ เรื่อง

- 3 -

2.3 มการก าหนดขนตอนปฏบตในการลงทะเบยนผใชงาน (user registration) ครอบคลมในเรองตอไปน

(1) จดท าแบบฟอรมขอใชระบบงานสารสนเทศ และใหผใชงานกรอกขอมลลงในแบบฟอรม เพอตรวจสอบสทธและด าเนนการตามขนตอนการลงทะเบยนผใชงาน

(2) มการระบชอบญชผใชงานแยกกนเปนรายบคคล ไมซ าซอนกน (3) การก าหนดชอผใชงาน (username) จะก าหนดจากชอภาษาองกฤษและตามดวย

อกษรตวแรกของนามสกล หากซ าใหเพมอกษรตวทสอง หรอ จนกวาจะไมซ ากบชอผใชงานคนอน (4) จ ากดการใชงานบญชผใชงานแบบกลมภายใตบญชรายชอเดยวกน และอนญาตใหใช

เทาทจ าเปน (5) มการตรวจสอบและมอบหมายสทธในการเขาถงทเหมาะสมตอหนาทความรบผดชอบ

และ/หรอความตองการทางธรกจ (6) จดท าเอกสารแสดงถงสทธและหนาทความรบผดชอบของผใชงาน ซงตองลงนาม

รบทราบดวย (7) มการท าบนทกและจดเกบขอมลการขออนมตเขาใชระบบสารสนเทศ (8) มหลกเกณฑในการอนญาตใหเขาถงระบบสารสนเทศ และไดรบการพจารณาอนญาต

จากผอ านวยการกลมขอมลและสารสนเทศ หรอ ผดแลระบบทไดรบมอบหมาย (9) มหลกเกณฑในการยกเลกเพกถอนการอนญาตใหเขาถงระบบสารสนเทศและการตด

ออกจากทะเบยนของผใชงาน เมอมการลาออก เปลยนต าแหนง โอน ยาย หรอ สนสดการจาง เปนตน 2.4 มการบรหารจดการสทธของผใชงาน (user management) โดยแสดงรายละเอยดทเกยว

กบการควบคมและจ ากดสทธเพอใหสามารถเขาถงและใชงานระบบสารสนเทศแตละชนดตามความเหมาะสม ทงนรวมถงสทธจ าเพาะ สทธพเศษ และสทธอน ๆ ทเกยวของกบการเขาถง ดงน

(1) แสดงกระบวนการในการมอบหมายหรอก าหนดสทธการใชงานใหแกผใชงาน (2) มการก าหนดระดบสทธในการเขาถงระบบสารสนเทศทเหมาะสมตามหนาทความรบ

ผดชอบและตามความจ าเปนในการใชงาน (3) การมอบหมายสทธ ตองสอดคลองกบนโยบายควบคมการเขาถง (4) มการบนทกและจดเกบขอมลการมอบหมายสทธใหแกผใชงาน

2.5 มการบรหารจดการรหสผานส าหรบผใชงาน (user password management) โดยจดท ากระบวนการบรหารจดการรหสผานส าหรบผใชงานอยางรดกม ดงน

(1) มขนตอนปฏบตส าหรบการตงหรอเปลยนรหสผานทมความมนคงปลอดภย (2) การตงรหสผานชวคราว ตองยากตอการเดา และตองมความแตกตางกน (3) สงมอบรหสผาน (password) ชวคราวใหกบผใชงานดวยวธการทปลอดภย โดยหลก

เลยงการใชบคคลอน หรอ การสงจดหมายอเลกทรอนกส (e-mail) ในการจดสงรหสผาน และผใชงานควร ตอบกลบทนท หลงจากไดรบรหสผาน

(4) ผใชงานตองเปลยนรหสผานทนทหลงจากไดรบรหสผานชวคราว และควรเปลยนใหรหสผานยากตอการเดา

(5) เปลยนรหสผานทนทหลงจากตดตงซอฟตแวรแลว

Page 6: เอกสารแนบท้ายประกาศ ...203.159.216.99/web/images/download/REO4-ict02.pdf · เอกสารแนบท้ายประกาศ เรื่อง

- 4 -

(6) ตองมการลงนามเพอปองกนการเปดเผยขอมลรหสผานของตน (7) การเปลยนรหสผานตองตรวจสอบบญชชอผใชงานและรหสผานปจจบนใหถกตอง

กอนทจะอนญาตใหเปลยนรหสใหม (8) ในกรณมความจ าเปนตองใหสทธพเศษกบผใชงานทมสทธสงสด ผใชงานนนจะตอง

ไดรบความเหนชอบและอนมตจากผบงคบบญชา โดยมการก าหนดระยะเวลาการใชงานและระงบการใชงานทนทเมอพนระยะเวลาดงกลาวหรอพนจากต าแหนง และมการก าหนดสทธพเศษทไดรบวาเขาถงไดถงระดบใดไดบาง และตองก าหนดใหรหสผใชงานตางจากรหสผใชงานตามปกต

2.6 การทบทวนสทธการเขาถงของผใชงาน (review of user access rights) ตองมกระบวนการ ทบทวนสทธการเขาถงของผใชงานระบบสารสนเทศและปรบปรงบญชผใชงาน อยางนอยปละ 1 ครง หรอ เมอมการเปลยนแปลง เชน มการลาออก เปลยนต าแหนง โอน ยาย หรอสนสดการจาง เปนตน

3. การก าหนดหนาทความรบผดชอบของผใชงาน (user responsibilities) เพอปองกนการเขาถงโดยไมไดรบอนญาต การเปดเผย การลวงร หรอ การลกลอบท าสาเนาขอมล

สารสนเทศ มขอปฏบตอยางนอย ดงน 3.1 มการก าหนดวธปฏบตการใชงานรหสผาน (password use) ส าหรบผใชงาน เพอใหสามารถ

ก าหนดรหสผาน การใชงานรหสผาน และการเปลยนหสผานทมคณภาพ ดงน (1) เปลยนรหสผานชวคราวทนทเมอลอกอนเขาใชงานระบบครงแรก (2) ควรตงรหสผานทยากตอการคาดเดา (3) ควรก าหนดรหสผาน ใหมตวอกษรจ านวนมากกวา หรอ เทากบ 8 ตวอกษร โดยมการ

ผสมกนระหวางตวอกษรทเปนตวพมพปกต ตวเลข และสญลกษณเขาดวยกน (4) ไมควรก าหนดรหสผานสวนบคคลจากชอหรอนามสกลของตนเองหรอบคคลในครอบครว

หรอบคคลทมความสมพนธใกลชดกบตน หรอจากค าศพททใชในพจนานกรม (5) ไมตงรหสผานจากอกขระทเรยงกน หรอ กลมเหมอนกน (6) ไมใชรหสผานสวนบคคลส าหรบการใชแฟมขอมลรวมกบบคคลอนผานเครอขาย

คอมพวเตอร (7) เกบรกษารหสผานทงของตนเองและของกลมไวเปนความลบ (8) ไมจดหรอบนทกรหสผานสวนบคคลไวในสถานททงายตอการสงเกตเหนของบคคลอน

หรอ เกบไวในระบบคอมพวเตอร (9) ตองไมก าหนดใหมการบนทกหรอชวยจ ารหสผานสวนบคคล (Save Password) (10) ไมใชรหสผานของตนเองรวมกบผอน (11) กรณทมความจ าเปนตองบอกรหสผานแกผอนเนองจากงาน หลงจากด าเนนการ

เรยบรอย ใหท าการเปลยนรหสผานโดยทนท (12) ควรมการเปลยนรหสผานตามรอบระยะเวลาทก าหนดไว หรอเปลยนรหสผานทนท

เมอทราบวารหสผานอาจถกเปดเผยหรอลวงร (13) หลกเลยงการใชรหสผานเดยวกนส าหรบระบบงานตาง ๆ ทตนใชงาน (14) หลกเลยงการใชรหสผานเดม

Page 7: เอกสารแนบท้ายประกาศ ...203.159.216.99/web/images/download/REO4-ict02.pdf · เอกสารแนบท้ายประกาศ เรื่อง

- 5 -

(15) ผดแลระบบตองเปลยนรหส ถกวาผใชงานทวไป 3.2 การปองกนอปกรณในขณะทไมมผใชงานทอปกรณ ใหก าหนดแนวปฏบตทเหมาะสมเพอ

ปองกนไมใหผไมมสทธสามารถเขาถงอปกรณของหนวยงานในขณะทไมมผดแล ดงน (1) มการก าหนดขอปฏบตใหปองกนอปกรณคอมพวเตอรทใชงาน เพอปองกนการสญหาย

หรอการเขาถงโดยไมไดรบอนญาต (2) มมาตรการปองกนอปกรณทไมมผใชงาน หรอตองปลอยทงไวโดยไมมผดแลชวคราว (3) สรางความตระหนกใหเกดความเขาใจในมาตรการปองกน (4) ตองออกจากระบบสารสนเทศทนททเสรจสนการใชงาน (5) ตงใหเครองคอมพวเตอรลอคหนาจอหลงจากทไมไดใชงานเปนเวลา 45 นาท และตอง

ใสรหสผานใหถกตองจงจะสามารถเปดหนาจอได (6) ตองลอคอปกรณและเครองคอมพวเตอรทส าคญ เมอไมไดถกใชงานหรอตองปลอยทง

โดยไมไดดแลชวคราว 3.3 การควบคมทรพยสนสารสนเทศและการใชงานระบบคอมพวเตอร (clear desk and clear

screen policy) ตองควบคมไมใหทรพยสนสารสนเทศ เชน เอกสาร สอบนทกขอมล คอมพวเตอรหรอสารสนเทศ อยในภาวะเสยงตอการเขาถงโดยผซงไมมสทธ และตองก าหนดใหผใชงานออกจากระบบสารสนเทศเมอวางเวนจากการใชงาน ดงน

(1) มการก าหนดมาตรการปองกนทรพยสนขององคกร และควบคมไมใหมการทงหรอปลอยทรพยสนสารสนเทศทส าคญใหอยในสถานททไมปลอดภย ใหครอบคลมเรองตาง ๆ เชน

- การจดการบรเวณลอมรอบ - การควบคมการเขา-ออก - การจดบรเวณการเขาถง การสงผลตภณฑโดยบคคลภายนอก - การวางอปกรณ - ระบบและอปกรณสนบสนนการท างาน

(2) การปองกนตองมความสอดคลองกบเรองตาง ๆ ดงน - แนวทางการจดหมวดหมสารสนเทศและการจดการกบสารสนเทศ - กฎหมาย ระเบยบ ขอบงคบ หรอขอก าหนดอน ๆ - วฒนธรรมองคกร

(3) มการปองกนเครองคอมพวเตอร โดยใชกลไกการพสจนตวตนทเหมาะสมกอนเขาใชงาน (4) มการก าหนดขอบเขตของการปองกน ดงน

- ทกคนตองตระหนกและปฏบตการใด ๆ เพอปองกนทรพยสนของหนวยงาน - ลงชอออกจากระบบทนท เมอจ าเปนตองปลอยทงโดยไมมผดแล - จดเกบขอมลส าคญในสถานททมความปลอดภย - ลอคเครองคอมพวเตอร เมอไมไดใชงาน - ปองกนเครองโทรสาร เมอไมมผใชงาน - ปองกนตหรอบรเวณทใชในการรบสงเอกสารไปรษณย

Page 8: เอกสารแนบท้ายประกาศ ...203.159.216.99/web/images/download/REO4-ict02.pdf · เอกสารแนบท้ายประกาศ เรื่อง

- 6 -

- ปองกนไมใหผอนใชอปกรณดงตอไปน โดยไมไดรบอนญาต ไดแก กลองดจตอล เครองส าเนาเอกสาร เครองสแกนเอกสาร เปนตน

- น าเอกสารออกจากเครองพมพทนททพมพงานเสรจ 3.4 ผใชงานอาจน าการเขารหส มาใชกบขอมลทเปนความลบ โดยใหปฏบตตามระเบยบการ

รกษาความลบทางราชการ พ.ศ. 2544 ดงน (1) ตองแสดงหลกเกณฑในการก าหนดเรองขอมลลบ หรอขอมลทส าคญยงยวด (2) ตองแสดงขอปฏบตส าหรบการเขาถงขอมลลบ หรอขอมลทส าคญยงยวด

4. การควบคมการเขาถงเครอขาย (network access control) เพอปองกนการเขาถงบรการทางเครอขายโดยไมไดรบอนญาต อยางนอยดงน

4.1 การใชบรการเครอขาย ตองก าหนดใหผใชงานสามารถเขาถงระบบสารสนเทศไดแตเพยงบรการทไดรบอนญาตใหเขาถงเทานน

(1) มการก าหนดระบบสารสนเทศทตองมการควบคมการเขาถง โดยระบเครอขาย หรอบรการทอนญาตใหมการใชงานได

(2) มขอปฏบตส าหรบผใชงานใหสามารถเขาถงระบบสารสนเทศไดแตเพยงบรการทไดรบอนญาตใหเขาถงเทานน

(3) ก าหนดการใชงานระบบสารสนเทศทส าคญ เชน ระบบคอมพวเตอรโปรแกรมประยกต (application) จดหมายอเลกทรอนกส (e-mail) ระบบเครอขายไรสาย (wireless LAN) ระบบอนเทอรเนต (internet) เปนตน โดยตองใหสทธเฉพาะการปฏบตงานในหนาทและตองไดรบความเหนชอบจากผบงคบบญชาเปนลายลกษณอกษร รวมทงตองทบทวนสทธดงกลาวอยางนอยปละ 1 ครง

4.2 การยนยนตวบคคลส าหรบผใชงานทอยภายนอกหนวยงาน (user authentication for external connections) จะตองมขอปฏบตหรอกระบวนการใหมการยนยนตวบคคลกอนทจะอนญาตใหผใชงานทอยภายนอกหนวยงานสามารถเขาใชงานเครอขายและระบบสารสนเทศของหนวยงานได ดงน

(1) ผใชงานทจะเขาใชงานระบบ ตองแสดงตวตน (identification) ดวยชอผใชงาน (username) ทกครง

(2) ใหมการตรวจสอบผใชงานทกครงกอนทจะอนญาตใหเขาถงระบบขอมล โดยจะตองมวธการยนยนตวบคคล (authentication) เพอแสดงวาเปนผใชงานตวจรง เชน การใชรหสผาน (password) หรอการใชสมารทการด หรอ การใช USB token ทมความสามารถ PKI เปนตน

(3) จะตองมวธการในการตรวจสอบเพอพสจนตวตน ส าหรบการเขาสระบบสารสนเทศของหนวยงาน อยางนอย 1 วธ

(4) การเขาสระบบสารสนเทศของหนวยงานจากอนเทอรเนต ใหมการตรวจสอบผใชงานดวย 4.3 การระบอปกรณบนเครอขาย (equipment identification in networks) ตองมวธการ

หรอ กระบวนการทสามารถระบอปกรณบนเครอขายได โดยสามารถใชการระบอปกรณบนเครอขายเปนการยนยนการเขาถง ดงน

(1) ใหก าหนดวธการพสจนตวตนทกครงทใชอปกรณ (2) มการควบคมการใชงานอยางเหมาะสม

Page 9: เอกสารแนบท้ายประกาศ ...203.159.216.99/web/images/download/REO4-ict02.pdf · เอกสารแนบท้ายประกาศ เรื่อง

- 7 -

(3) จ ากดผใชงานทสามารถเขาใชอปกรณได 4.4 การปองกนพอรตทใชส าหรบตรวจสอบและปรบแตงระบบ (remote diagnostic and

configuration port protection) ตองควบคมการเขาถงพอรตทใชส าหรบตรวจสอบและปรบแตงระบบ ทงการเขาถงทางกายภาพและทางเครอขาย

(1) แสดงขนตอน หรอ หลกเกณฑในการควบคมการเขาถงพอรตทใชส าหรบตรวจสอบและปรบแตงระบบ ส าหรบการเขาถงทางกายภาพและการเขาถงทางเครอขาย

(2) ก าหนดวธการปองกนชองทางทใชบ ารงรกษาระบบผานเครอขาย (3) ปดการใชงานหรอควบคมการเขาถงพอรตทใชส าหรบตรวจสอบและปรบแตงระบบให

ใชงานไดอยางจ ากดระยะเวลาเทาทจ าเปน โดยตองไดรบการอนญาตจากผรบผดชอบเปน ลายลกษณอกษร 4.5 การแบงแยกเครอขาย (segregation in networks) ตองท าการแบงแยกเครอขายส าหรบ

กลมผใชงาน โดยแบงออกเปน 2 เครอขาย คอ เครอขายส าหรบผใชงานภายใน และเครอขายส าหรบผใชงานภายนอก

4.6 การควบคมการเชอมตอทางเครอขาย (network connection control) ตองควบคม การเขาถงหรอใชงานเครอขายทมการใชรวมกนหรอเชอมตอระหวางใหสอดคลองกบแนวปฏบตการควบคมการเขาถง ดงน

(1) มการตรวจสอบการเชอมตอเครอขาย (2) จ ากดสทธ ความสามารถของผใชในการเชอมตอเขาสเครอขาย (3) ระบอปกรณ เครองมอทใชควบคมการเชอมตอเครอขาย (4) มระบบการตรวจจบผบกรกทงในระดบเครอขาย และระดบเครองคอมพวเตอรแมขาย (5) ควบคมไมใหมการเปดใหบรการบนเครอขาย โดยไมไดรบอนญาต

4.7 การควบคมการจดเสนทางบนเครอขาย (network routing control) ตองควบคมการจดเสนทางบนเครอขายเพอใหการเชอมตอของคอมพวเตอรและการสงผานหรอไหลเวยนของขอมลหรอสารสนเทศสอดคลองกบแนวปฏบตการควบคมการเขาถงหรอการประยกตใชงานตามภารกจ ดงน

(1) ควบคมไมใหมการเปดเผยแผนการใชหมายเลขเครอขาย (IP Address) (2) ก าหนดใหมการแปลงหมายเลขเครอขาย เพอแยกเครอขายยอย (3) ก าหนดมาตรการการบงคบใชเสนทางเครอขาย สามารถเชอมเครอขายปลายทางผาน

ชองทางทก าหนดไว หรอจ ากดสทธในการใชบรการเครอขาย 4.8 การควบคมการเขาใชงานระบบจากภายนอก

(1) การเขาสระบบจากระยะไกล (remote access) สระบบสารสนเทศและเครอขายของหนวยงาน ตองมการก าหนดมาตรการรกษาความปลอดภยทเพมขนจากมาตรฐานการเขาสระบบภายใน

(2) การเขาสระบบจากระยะไกล (remote access) ตองมการตรวจสอบ เพอพสจนตวตนของผใชงาน เชน รหสผาน หรอวธการเขารหส เปนตน

(3) วธการใด ๆ กตามทสามารถเขาสระบบสารสนเทศและเครอขายไดจากระยะไกลตองไดรบการอนมตจากผอ านวยการกลมขอมลและสารสนเทศหรอผดแลระบบทไดรบมอบหมายกอน และ มการควบคมอยางเขมงวดกอนน ามาใชและผใชงานตองปฏบตตามขอก าหนดของการเขาสระบบสารสนเทศอยางเครงครด

Page 10: เอกสารแนบท้ายประกาศ ...203.159.216.99/web/images/download/REO4-ict02.pdf · เอกสารแนบท้ายประกาศ เรื่อง

- 8 -

(4) กอนท าการใหสทธในการเขาสระบบจากระยะไกล ผใชงานตองแสดงหลกฐานระบเหตผลหรอความจ าเปนในการด าเนนงานกบหนวยงานอยางเพยงพอและตองไดรบอนมตจากผอ านวยการกลมขอมลและสารสนเทศหรอผดแลระบบทไดรบมอบหมายอยางเปนทางการ

(5) มการควบคมพอรต (port) ทใชในการเขาสระบบอยางรดกม การเขาสระบบโดยการโทรศพทเขามานน ตองดแลและจดการโดยผดแลระบบและวธการหมนเขาตองไดรบการอนมตอยางถกตองและเหมาะสมแลวเทานน

(6) การอนญาตใหผใชงานเขาสระบบจากระยะไกล ตองอยบนพนฐานของความจ าเปนเทานน และไมควรเปด port และ modem ทใชทงเอาไวโดยไมจ าเปน ชองทางดงกลาวควรตดการเชอมตอเมอไมไดใชงานแลว และจะเปดใหใชไดตอเมอมการรองขอทจ าเปนเทานน

5. การควบคมการเขาถงระบบปฏบตการ (operating system access control) เพอปองกนการเขาถงระบบปฏบตการโดยไมไดรบอนญาต โดยมแนวปฏบต ดงน

5.1 ผดแลระบบ (system administrator) ตองตดตงโปรแกรมชวยบรหารจดการ (domain controller) เพอบรหารจดการเครองคอมพวเตอรทกเครองของหนวยงานและก าหนดชอผใชงาน (username) และรหสผาน (password) ใหกบผใชงานเพอเขาใชงานระบบปฏบตการของเครองคอมพวเตอรของหนวยงาน

5.2 ก าหนดขนตอนปฏบตเพอการเขาใชงานทมนคงปลอดภย การเขาถงระบบปฏบตการจะตองควบคมโดยแสดงวธการยนยนตวตนทมนคงปลอดภย โดยมแนวปฏบต ดงน

(1) ตองจดไมใหระบบแสดงรายละเอยดส าคญหรอความผดพลาดตาง ๆ ของระบบกอนทการเขาสระบบจะเสรจสมบรณ

(2) ระบบสามารถยตการเชอมตอจากเครองปลายทางได เมอพบวามการพยายามคาดเดารหสผานจากเครองปลายทาง

(3) จ ากดระยะเวลาส าหรบใชในการปอนรหสผาน (4) จ ากดการเชอมตอโดยตรงสระบบปฏบตการผานทาง Command Line เนองจากอาจ

สรางความเสยหายใหกบระบบได 5.3 ระบและยนยนตวตนของผใชงาน (user identification and authentication) ตอง

ก าหนดใหผใชงานมขอมลเฉพาะเจาะจงซงสามารถระบตวตนของผใชงาน และเลอกใชขนตอนทางเทคนคในการยนยนตวตนทเหมาะสมเพอรองรบการกลาวอางวาเปนผใชงานทระบถง โดยมแนวปฏบต ดงน

(1) ผใชงานตองมชอผใชงาน (username) และรหสผาน (password) ส าหรบเขาใชงานระบบสารสนเทศของหนวยงาน

(2) หากอนญาตใหใชชอผใชงาน (username) และรหสผาน (password) รวมกน ตองขนอยกบความจ าเปนทางดานธรกจหรอดานเทคนค

(3) สามารถใชอปกรณควบคมความปลอดภยเพมเตม เชน Smart Card 5.4 การบรหารจดการรหสผาน (password management system) มระบบบรหารจดการ

รหสผานทสามารถท างานเชงโตตอบ (interactive) หรอมการท างานในลกษณะอตโนมต ซงเออตอการก าหนดรหสผานทมคณภาพ

Page 11: เอกสารแนบท้ายประกาศ ...203.159.216.99/web/images/download/REO4-ict02.pdf · เอกสารแนบท้ายประกาศ เรื่อง

- 9 -

เมอไดด าเนนการตดตงระบบแลว ใหยกเลกชอผใชงานหรอเปลยนรหสผานของทกชอผใชงานทไดถกก าหนดไวเรมตนทมาพรอมกบการตดตงระบบโดยทนท

5.5 การใชงานโปรแกรมอรรถประโยชน (use of system utilities) ควรจ ากดและควบคมการใชงานโปรแกรมอรรถประโยชนส าหรบโปรแกรมคอมพวเตอรทส าคญ เนองจากการใชงานโปรแกรมอรรถประโยชนบางชนดสามารถท าใหผใชหลกเลยงมาตรการปองกนทางดานความมนคงปลอดภยของระบบได เพอปองกนการละเมดหรอหลกเลยงมาตรการความมนคงปลอดภยทไดก าหนดไวหรอทมอยแลวใหด าเนนการดงน

(1) จ ากดสทธการเขาถง และก าหนดสทธอยางรดกมในการอนญาตใหใชโปรแกรมอรรถประโยชน

(2) ก าหนดใหอนญาตใชงานโปรแกรมอรรถประโยชนเปนรายครงไป (3) จดเกบโปรแกรมอรรถประโยชนไวในสอภายนอก ถาไมตองใชงานเปนประจ า (4) มการเกบบนทกการเรยกใชงานโปรแกรมเหลาน (5) ก าหนดใหมการถอดถอนโปรแกรมอรรถประโยชนทไมจ าเปนออกจากระบบ

5.6 เมอมการวางเวนจากการใชงานในระยะเวลาหนงใหยตการใชงานระบบสารสนเทศนน (session time-out)

(1) ใหก าหนดหลกเกณฑการยตการใชงานระบบสารสนเทศ เมอวางเวนจากการใชงานเปนเวลา 30 นาทเปนอยางนอย หากเปนระบบทมความเสยงหรอความส าคญสง ใหก าหนดระยะเวลายตการใชงานระบบเมอวางเวนจากการใชงานใหสนขนหรอเปนเวลา 15 นาท ตามความเหมาะสม เพอปองกนการเขาถงขอมลส าคญโดยไมไดรบอนญาต

(2) ถาไมมการใชงานระบบ ตองท าการยกเลกการใชโปรแกรมประยกตและการเชอมตอเขาสระบบโดยอตโนมต

(3) เครองปลายทางทตงอยในพนททมความเสยงสงตองมการก าหนดระยะเวลาใหท าการปดเครองโดยอตโนมต หลงจากทไมมการใชงานเปนระยะเวลาตามทก าหนด

5.7 การจ ากดระยะเวลาการเชอมตอระบบสารสนเทศ (limitation of connection time) ตองจ ากดระยะเวลาในการเชอมตอเพอใหมความมนคงปลอดภยมากยงขนส าหรบระบบสารสนเทศหรอโปรแกรมทมความเสยงหรอมความส าคญสง

(1) ก าหนดหลกเกณฑในการจ ากดระยะเวลาการเชอมตอระบบสารสนเทศ ส าหรบระบบสารสนเทศหรอแอพพลเคชนทมความเสยงหรอมความส าคญสง เพอใหผใชงานสามารถใชงานไดนานทสดภายในระยะเวลาทก าหนดเทานน เชน ก าหนดใหใชงานได 3 ช.ม. ตอการเชอมตอหนงครง ก าหนดใหใชงานไดเฉพาะในชวงเวลาการท างานของหนวยงานตามปกตเทานน

(2) การก าหนดชวงเวลาส าหรบการเชอมตอระบบเครอขายจากเครองปลายทาง จะตองพจารณาถงระดบความเสยงของทตงของเครองปลายทางดวย

(3) ก าหนดใหระบบสารสนเทศ เชน ระบบงานทมความส าคญสง ระบบงานทมการใชงานในสถานททมความเสยง (ในทสาธารณะหรอพนทภายนอกสานกงาน) เปนตน มการจ ากดชวงระยะเวลาการเชอมตอ

Page 12: เอกสารแนบท้ายประกาศ ...203.159.216.99/web/images/download/REO4-ict02.pdf · เอกสารแนบท้ายประกาศ เรื่อง

- 10 -

6. การควบคมการเขาถงโปรแกรมประยกตหรอแอพพลเคชนและสารสนเทศ (application and information access control) โดยตองมการควบคม อยางนอยดงน

6.1 การจ ากดการเขาถงสารสนเทศ (information access restriction) ตองจ ากดหรอควบคมการเขาถงหรอเขาใชงานของผใชงานและบคลากรฝายสนบสนนการเขาใชงานในการเขาถงสารสนเทศและฟงกชน (functions) ตาง ๆ ของโปรแกรมประยกตหรอแอพพลเคชน โดยใหก าหนดหลกเกณฑในการจ ากดหรอควบคมการเขาถงหรอเขาใชงานทสอดคลองตามนโยบายควบคมการเขาถงสารสนเทศทไดก าหนดไว

6.2 ระบบซงไวตอการรบกวน มผลกระทบและมความส าคญสงตอหนวยงาน จะตองดาเนนการดงน (1) ตองแยกระบบซงไวตอการรบกวนดงกลาวออกจากระบบอน ๆ และแสดงใหเหนถง

ผลกระทบและระดบความส าคญตอหนวยงาน (2) มการควบคมสภาพแวดลอมของระบบดงกลาวโดยเฉพาะ (3) มการควบคมอปกรณคอมพวเตอรและสอสารเคลอนทและการปฏบตงานจาก

ภายนอกหนวยงาน (mobile computing and teleworking) ทเกยวของกบระบบดงกลาว 6.3 การควบคมอปกรณคอมพวเตอรและสอสารเคลอนท ตองก าหนดแนวปฏบตและมาตรการท

เหมาะสมในการควบคมการใชอปกรณคอมพวเตอรและสอสารเคลอนท เพอปกปองสารสนเทศจากความเสยงของการใชอปกรณคอมพวเตอรและสอสารเคลอนท

6.4 การปฏบตงานจากภายนอกหนวยงาน (teleworking) ตองก าหนดแนวปฏบต แผนงานและขนตอนปฏบตเพอปรบใชส าหรบการปฏบตงานของหนวยงานจากภายนอกหนวยงาน

7. การควบคมการเขาถงระบบเครอขายไรสาย (Wireless LAN Access Control)

7.1 ผใชงานทตองการเขาถงระบบเครอขายไรสายของหนวยงาน จะตองท าการลงทะเบยนกบผดแลระบบ โดยจะตองขออนญาตเปนลายลกษณอกษรและไดรบการพจารณาอนญาตจากผอ านวยการกลมขอมลและสารสนเทศหรอผดแลระบบทไดรบมอบหมาย

7.2 ผดแลระบบ (system administrator) ตองด าเนนการดงตอไปน (1) ตองท าการลงทะเบยนก าหนดสทธผใชงานการเขาถงระบบเครอขายไรสายให

เหมาะสมกบหนาทความรบผดชอบในการปฏบตงานกอนเขาใชระบบเครอขายไรสาย รวมทงมการทบทวนสทธการเขาถงอยางสม าเสมอ ทงนระบบจะตองไดรบอนญาตจากผดแลระบบตามความจ าเปนในการใชงาน

(2) ตองท าการลงทะเบยนอปกรณทกตวทใชตดตอระบบเครอขายไรสาย (3) ตองควบคมสญญาณของอปกรณกระจายสญญาณ (access point) เพอปองกนไมให

สญญาณของอปกรณรวไหลออกนอกพนทใชงานระบบเครอขายไรสาย และปองกนไมให ผโจมตสามารถรบสงสญญาณจากภายนอกอาคารหรอบรเวณขอบเขตทควบคมได

(4) ควรท าการเปลยนคา SSID (service set identifier) ทถกก าหนดเปนคา Default มาจากผผลตทนททน าอปกรณกระจายสญญาณ (access point) มาใชงาน

(5) ควรเปลยนคาชอบญชรายชอและรหสผานในการเขาสระบบส าหรบการตงคา การท างานของอปกรณไรสายและควรจะเลอกใชชอบญชรายชอและรหสผานทคาดเดาไดยาก เพอปองกน ผโจมตไมใหสามารถเดา หรอ เจาะรหสไดโดยงาย

Page 13: เอกสารแนบท้ายประกาศ ...203.159.216.99/web/images/download/REO4-ict02.pdf · เอกสารแนบท้ายประกาศ เรื่อง

- 11 -

(6) ตองก าหนดคาใช Wep (wired equivalent privacy) หรอ WPA (Wi-Fi protected access) ในการเขารหสขอมลระหวาง Wireless LAN client และอปกรณกระจายสญญาณ (access point) เพอใหยากตอการดกจบและท าใหปลอดภยมากขน

(7) ควรเลอกใชวธการควบคม MAC Address (media access control address) และชอผใช (username) รหสผาน (password) ของผใชงานทมสทธในการเขาใชงานระบบเครอขายไรสาย โดยจะอนญาตเฉพาะอปกรณทม MAC Address และชอผใช (username) รหสผาน (password) ตามทก าหนดไวเทานนใหเขาใชระบบเครอขายไรสายไดอยางถกตอง

(8) ควรจะมการตดตงอปกรณปองกนการบกรก (firewall) ระหวางเครอขายไรสายกบเครอขายภายในหนวยงาน

(9) ควรใชซอฟตแวรหรอฮารดแวรตรวจสอบความมนคงปลอดภยของระบบเครอขาย ไรสายอยางสม าเสมอ เพอคอยตรวจสอบและบนทกเหตการณทนาสงสยทเกดขนในระบบเครอขายไรสาย และเมอตรวจสอบพบการใชงานระบบเครอขายไรสายทผดปกตใหรายงานตอผอ านวยการกลมขอมลและสารสนเทศทราบโดยทนท

8. การรกษาความมนคงปลอดภยทางดานกายภาพและสงแวดลอม (physical and environmental security)

8.1 ศนยขอมลและเครอขายคอมพวเตอร (data center) (1) ใหกลมขอมลและสารสนเทศ เปนผก าหนดพนทใชงานระบบสารสนเทศและ

การสอสารใหชดเจน และจดท าแผนผงแสดงต าแหนงของพนทใชงานและประกาศใหรบทราบทวกน โดย การก าหนดพนทดงกลาวแบงออกไดเปนพนทท างาน พนทตดตงและจดเกบอปกรณระบบสารสนเทศ หรอ ระบบเครอขาย พนทใชงานระบบเครอขายไรสาย เปนตน

(2) ใหกลมขอมลและสารสนเทศ เปนผก าหนดสทธในการเขาถงพนทใชงานระบบสารสนเทศและการสอสาร

(3) ใหกลมขอมลและสารสนเทศ เปนผก าหนดมาตรการควบคมการเขา-ออกพนทใชงานระบบสารสนเทศและการสอสาร

(4) หนวยงานภายนอกทน าเครองคอมพวเตอร หรออปกรณทใชในการปฏบตงานระบบเครอขายภายในหนวยงาน จะตองลงบนทกในแบบฟอรมการขออนญาตใชงานเครองคอมพวเตอรหรออปกรณ และตองมเจาหนาททไดรบมอบหมายจากผบงคบบญชาลงนาม

(5) มระบบสนบสนนการท างานของระบบสารสนเทศของหนวยงานทเพยงพอตอความตองการใชงานโดยใหมระบบดงน เครองก าเนดกระแสไฟฟาส ารอง ระบบน าและเครองดบเพลงระบบปรบอากาศและควบคมความชน และใหมการตรวจสอบหรอทดสอบระบบสนบสนนเหลานนอยางสม าเสมอใหมนใจไดวา ระบบท างานตามปกต และลดความเสยงจากการลมเหลวในการท างานของระบบ

(6) ตดตงระบบแจงเตอนเพอแจงเตอนกรณทระบบสนบสนนการท างานภายในหองเครองท างานผดปกตหรอหยดการท างาน

8.2 การเดนสายไฟ สายสอสาร และสายเคเบลอน ๆ (cabling security)

Page 14: เอกสารแนบท้ายประกาศ ...203.159.216.99/web/images/download/REO4-ict02.pdf · เอกสารแนบท้ายประกาศ เรื่อง

- 12 -

(1) หลกเลยงการเดนสายสญญาณเครอขายของหนวยงานในลกษณะทตองผานเขาไปในบรเวณทมบคคลภายนอกเขาถงได

(2) ใหมการรอยทอสายสญญาณตาง ๆ เพอปองกนการดกจบสญญาณ หรอการตดสายสญญาณเพอท าใหเกดความเสยหาย

(3) ใหเดนสายสญญาณสอสารและสายไฟฟาแยกออกจากกน เพอปองกนการแทรกแซงรบกวนของสญญาณซงกนและกน

(4) ท าปายชอส าหรบสายสญญาณและบนอปกรณเพอปองกนการตดตอสญญาณผดเสน (5) จดท าผงสายสญญาณสอสารตาง ๆ ใหครบถวนและถกตอง (6) หองทมสายสญญาณสอสารตาง ๆ ปดใสสลกใหสนท เพอปองกนการเขาถงของ

บคคลภายนอก (7) พจารณาใชงานสายไฟเบอรออฟตก (Fiber Optic) แทนสายสญญาณสอสารแบบเดม

(เชน สายสญญาณแบบ coaxial cable) ส าหรบระบบสารสนเทศทส าคญ (8) ด าเนนการส ารวจระบบสายสญญาณสอสารทงหมดเพอตรวจหาการตดตงอปกรณดก

จบสญญาณโดยผไมประสงคด 8.3 การบ ารงรกษาอปกรณ (equipment maintenance)

(1) ใหมก าหนดการบ ารงรกษาอปกรณตามรอบระยะเวลาทแนะน าโดยผผลต (2) ปฏบตตามค าแนะน าในการบ ารงรกษาตามทผผลตแนะน า (3) จดเกบบนทกกจกรรมการบ ารงรกษาอปกรณส าหรบการใหบรการทกครง เพอใชใน

การตรวจสอบหรอประเมนในภายหลง (4) จดเกบบนทกปญหาและขอบกพรองของอปกรณทพบ เพอใชในการประเมนและ

ปรบปรงอปกรณดงกลาว (5) ควบคมและสอดสองดแลการปฏบตงานของผใหบรการภายนอกทมาท าการ

บ ารงรกษาอปกรณภายในหนวยงาน (6) จดใหมการอนมตสทธการเขาถงอปกรณทมขอมลส าคญโดยผรบจางใหบรการจาก

ภายนอก (ทมาท าการบ ารงรกษาอปกรณ) เพอปองกนการเขาถงขอมลโดยไมไดรบอนญาต 8.4 การน าทรพยสนของหนวยงานออกนอกหนวยงาน (removal of property)

(1) ใหมการขออนญาตกอนน าอปกรณหรอทรพยสนนนออกไปใชงานนอกหนวยงาน (2) ก าหนดผมอ านาจในการเคลอนยายหรอน าอปกรณออกนอกหนวยงาน (3) ก าหนดระยะเวลาของการน าอปกรณออกไปใชงานนอกหนวยงาน (4) เมอมการน าอปกรณสงคน ใหตรวจสอบวาสอดคลองกบระยะเวลาทอนญาต และ

ตรวจสอบการช ารดเสยหายของอปกรณดวย (5) บนทกขอมลการน าอปกรณของหนวยงานออกไปใชงานนอกหนวยงาน เพอเอาไวเปน

หลกฐานปองกนการสญหาย รวมทง บนทกขอมลเพมเตมเมอน าอปกรณสงคน 8.5 การปองกนอปกรณทใชงานอยนอกหนวยงาน (security of equipment off-premises)

(1) ก าหนดมาตรการความปลอดภยเพอปองกนความเสยงจากการน าอปกรณหรอทรพยสนของหนวยงานออกไปใชงาน เชน การขนสง การเกดอบตเหตกบอปกรณ

Page 15: เอกสารแนบท้ายประกาศ ...203.159.216.99/web/images/download/REO4-ict02.pdf · เอกสารแนบท้ายประกาศ เรื่อง

- 13 -

(2) ไมทงอปกรณหรอทรพยสนของหนวยงานไวโดยล าพงในทสาธารณะ (3) เจาหนาทมความรบผดชอบดแลอปกรณหรอทรพยสนเสมอนเปนทรพยสนของตนเอง

8.6 การก าจดอปกรณหรอการน าอปกรณกลบมาใชงานอกครง (secure disposal or re-use of equipment)

(1) ใหท าลายขอมลส าคญในอปกรณกอนทจะก าจดอปกรณดงกลาว (2) มมาตรการหรอเทคนคในการลบหรอเขยนขอมลทบบนขอมลทมความส าคญใน

อปกรณส าหรบจดเกบขอมลกอนทจะอนญาตใหผ อนน าอปกรณนนไปใชงานตอ เพอปองกนไมใหมการเขาถงขอมลส าคญนนได

8.7 การรกษาความมนคงปลอดภยส าหรบเอกสารระบบสารสนเทศ (1) จดเกบเอกสารทเกยวของกบระบบสารสนเทศไวในสถานททมนคงปลอดภย (2) ใหมการควบคมการเขาถงเอกสารทเกยวของกบระบบสารสนเทศโดยผเปนเจาของระบบนน (3) ควบคมการเขาถงเอกสารทเกยวของกบระบบสารสนเทศทจดเกบหรอเผยแพรอยบน

เครอขายสาธารณะ เชน อนเทอรเนตเพอปองกนการเขาถงหรอเปลยนแปลงแกไขเอกสารนน

9. การเขาถงเครองคอมพวเตอรแมขาย 9.1 ควบคมการตดตงซอฟตแวรลงไปยงระบบเครองคอมพวเตอรแมขายทใหบรการ

(1) ใหมการควบคมการเปลยนแปลงตอระบบสารสนเทศของหนวยงานเพอปองกนความเสยหายหรอการหยดชะงกทมตอระบบสารสนเทศนน

(2) ใหผดแลระบบทไดรบการอบรมแลว หรอมความช านาญเทานน ทจะเปนผท าหนาทด าเนนการเปลยนแปลงตอระบบสารสนเทศของหนวยงาน

(3) การตดตงหรอปรบปรงซอฟตแวรของระบบสารสนเทศตองมการขออนมตใหตดตงกอนด าเนนการ

(4) ไมควรตดตงซอรสโคด คอมไพเลอร (complier) ของระบบสารสนเทศในเครองคอมพวเตอรแมขายทใหบรการนน ๆ

(5) ก าหนดใหมการจดเกบซอรสโคดและไลบรารส าหรบซอฟตแวรของระบบสารสนเทศไวในสถานททมความมนคงปลอดภย

(6) ก าหนดใหผ ใชงานหรอผท เกยวของตองท าการทดสอบระบบสารสนเทศตามจดประสงคทก าหนดไวอยางครบถวน เพยงพอ กอนด าเนนการตดตงบนเครองคอมพวเตอรแมขายทใหบรการ เชน ซอฟตแวรระบบปฏบตการ ซอฟตแวรทเปนตวระบบสารสนเทศ เปนตน

(7) ใหผทเกยวของตองท าการทดสอบดานความมนคงปลอดภยของระบบสารสนเทศอยางครบถวน กอนด าเนนการตดตงบนเครองใหบรการระบบสารสนเทศ

(8) ใหมการจดเกบซอฟตแวรเวอรชนเกา ขอมลทเกยวของกบระบบสารสนเทศเดม ขนตอนปฏบตทเกยวของของระบบสารสนเทศในกรณทจ าเปนตองกลบไปใชเวอรชนเกาเหลานน ตามระยะเวลาทเหมาะสม

(9) ใหมการระบความตองการทางสารสนเทศส าหรบระบบสารสนเทศทตองการปรบปรง กอนทจะเรมตนท าการพฒนา

Page 16: เอกสารแนบท้ายประกาศ ...203.159.216.99/web/images/download/REO4-ict02.pdf · เอกสารแนบท้ายประกาศ เรื่อง

- 14 -

9.2 ใหมการทบทวนการท างานของระบบสารสนเทศภายหลงจากทเปลยนแปลงระบบ ปฏบตการ

(1) แจงใหผท เกยวของกบระบบสารสนเทศไดรบทราบเกยวกบการเปลยนแปลงระบบปฏบตการเพอใหบคคลเหลานนมเวลาเพยงพอในการด าเนนการทดสอบและทบทวนกอนทจะด าเนนการเปลยนแปลงระบบปฏบตการ

(2) พจารณาวางแผนด าเนนการเปลยนแปลงระบบปฏบตการของระบบสารสนเทศ รวมทงวางแผนดานงบประมาณทจ าเปนตองใช ในกรณทหนวยงานตองเปลยนไปใชระบบปฏบตการใหม

9.3 การพฒนาซอฟตแวรโดยหนวยงานภายนอก (1) ควรจดใหมการควบคมโครงการพฒนาซอฟตแวรโดยผรบจางจากภายนอก (2) ใหระบวาใครจะเปนผมสทธในทรพยสนทางปญญาส าหรบซอรสโคด ในการพฒนา

ซอฟตแวรโดยผรบจางใหบรการจากภายนอก (3) ใหก าหนดเรองการสงวนสทธทจะตรวจสอบดานคณภาพและความถกตองของ

ซอฟตแวรทจะมการพฒนาโดยผใหบรการภายนอกโดยระบไวในสญญาจางทท ากบผใหบรการภายนอกนน (4) ใหมการตรวจสอบโปรแกรมไมประสงคด ในซอฟตแวรตาง ๆ ทจะท าการตดตงกอน

ดาเนนการตดตง 9.4 มาตรการควบคมชองโหวทางเทคนค

(1) ก าหนดใหมการจดท าบญชของระบบสารสนเทศเพอใชส าหรบกระบวนการบรหารจดการชองโหวของระบบเหลานน ควรมการบนทกดงตอไปน

- ชอซอฟตแวรและเวอรชนทใชงาน - สถานททตดตง - เครองทตดตง - ผผลตซอฟตแวร - ขอมลส าหรบตดตอผผลตหรอผพฒนาซอฟแวรนนๆ

(2) ก าหนดใหมการจดการกบชองโหวส าคญของระบบสารสนเทศอยางเหมาะสมโดยทนท (3) กระบวนการบรหารจดการชองโหวของระบบสารสนเทศ ใหผดแลระบบการ

ด าเนนการ ดงน - มการเฝาระวงและตดตาม ประเมนความเสยงส าหรบชองโหวของระบบ

สารสนเทศรวมทงการประสานงานเพอใหผทเกยวของดาเนนการแกไขชองโหวตามความเหมาะสม - ใหก าหนดแหลงขอมลขาวสารเพอใชในการตดตามชองโหวของระบบสารสนเทศ

ของหนวยงาน - ก าหนดใหผทเกยวของดาเนนการประเมนความเสยงเมอไดรบแจงหรอทราบ

เกยวกบชองโหวนน (4) ปดการใชงานหรอควบคมการเขาถงพอรตทใชส าหรบตรวจสอบและปรบแตงระบบให

ใชงานไดอยางจ ากดระยะเวลาเทาทจ าเปน โดยตองไดรบการอนญาตจากผรบผดชอบเปน ลายลกษณอกษร 9.5 การบนทกเหตการณทเกยวของกบการใชงานระบบสารสนเทศ (audit logging) มการ

บนทกพฤตกรรมการใชงาน (log) การเขาถงระบบสารสนเทศ ดงน

Page 17: เอกสารแนบท้ายประกาศ ...203.159.216.99/web/images/download/REO4-ict02.pdf · เอกสารแนบท้ายประกาศ เรื่อง

- 15 -

(1) ขอมลชอบญชผใชงาน (2) ขอมลวนเวลาทเขาถงระบบ (3) ขอมลวนเวลาทออกจากระบบ (4) ขอมลเหตการณส าคญทเกดขน (5) ขอมลการลอกอน ทงทส าเรจและไมส าเรจ (6) ขอมลความพยายามในการเขาถงทรพยากรทงทส าเรจและไมส าเรจ (7) ขอมลการเปลยนคอนฟกกเรชนของระบบ (8) ขอมลแสดงการใชงานแอพพลเคชน (9) ขอมลแสดงการเขาถงไฟลและการกระท ากบไฟล เชน เปด ปด เขยน อานไฟล เปนตน (10) ขอมลไอพแอดเดรสทเขาถง (11) ขอมลโพรโตคอลเครอขายทใช (12) ขอมลแสดงการหยดการท างานของระบบปองกนไวรสคอมพวเตอร (13) ขอมลแสดงการส ารองขอมลไมส าเรจ

10. การใชงานเครองคอมพวเตอรสวนบคคลและเครองคอมพวเตอรแบบพกพา 10.1 การใชงานทวไป

(1) เครองคอมพวเตอรทหนวยงานอนญาตใหผใชงาน ใชงานเปนทรพยสนของหนวยงาน ดงนน ผใชงานจงควรใชงานเครองคอมพวเตอรอยางมประสทธภาพเพองานของหนวยงาน

(2) โปรแกรมทไดถกตดตงลงบนเครองคอมพวเตอรของหนวยงาน ตองเปนโปรแกรมทหนวยงานไดซอลขสทธมาอยางถกตองตามกฎหมาย ดงนนหามผใชงานคดลอกโปรแกรมตาง ๆ และน าไปตดตงบนเครองคอมพวเตอรสวนตว หรอแกไข หรอน าไปใหผอนใชงานโดยผดกฎหมาย

(3) ไมอนญาตใหผ ใชงานท าการตดตงและแกไขเปลยนแปลงโปรแกรมในเครองคอมพวเตอรของหนวยงาน

(4) การเคลอนยายหรอสงเครองคอมพวเตอรไปตรวจซอมจะตองดาเนนการโดยเจาหนาทหรอผรบจางในการบ ารงรกษาเครองคอมพวเตอรและอปกรณทไดท าสญญากบหนวยงานเทานน

(5) กอนการใชงานสอบนทกพกพาตาง ๆ ตองมการตรวจสอบเพอหาไวรสโดยโปรแกรมปองกนไวรส

(6) ไมเกบขอมลส าคญของหนวยงานไวบนเครองคอมพวเตอรทใชงานอย (7) ไมน าอาหารหรอเครองดมอยใกลบรเวณเครองคอมพวเตอร (8) ไมวางสอแมเหลกไวใกลหนาจอเครองคอมพวเตอร หรอ Disk Drive (9) ในกรณทตองการเคลอนยายเครองคอมพวเตอรแบบพกพา ควรใสกระเปาส าหรบ

เครองคอมพวเตอรแบบพกพา เพอปองกนอนตรายทเกดจากการกระทบกระเทอน เชน การตกจากโตะท างาน หรอหลดมอ เปนตน

(10) การใชเครองคอมพวเตอรแบบพกพาเปนระยะเวลานานเกนไป ในสภาพทมอากาศรอนจด ควรปดเครองคอมพวเตอรเพอเปนการพกเครองสกระยะหนงกอนเปดใชงานใหมอกครง

Page 18: เอกสารแนบท้ายประกาศ ...203.159.216.99/web/images/download/REO4-ict02.pdf · เอกสารแนบท้ายประกาศ เรื่อง

- 16 -

(11) หลกเลยงการใชนวหรอของแขง เชน ปลายปากกา กดสมผสหนาจอ LCD ใหเปนรอยขดขวนหรอท าใหจอ LCD ของเครองคอมพวเตอรแบบพกพาแตกเสยหายได

(12) ไมวางของทบบนหนาจอและแปนพมพ (13) การเคลอนยายเครอง ขณะทเครองเปดใชงานอย ใหท าการยกจากฐานภายใต

แปนพมพ หามยายเครองโดยการดงหนาจอภาพขน (14) ไมใชหรอวางเครองคอมพวเตอรแบบพกพาใกลสงทเปนของเหลว ความชน เชน

อาหาร น า กาแฟ เครองดมตาง ๆ เปนตน (15) ผใชงานมหนาทรบผดชอบในการปองกนการสญหาย เชน ควรลอคเครองขณะท

ไมไดใชงาน ไมวางเครองทงไวในทสาธารณะ หรอในบรเวณทมความเสยงตอการสญหาย (16) หามมใหผใชงานท าการเปลยนแปลงแกไขสวนประกอบยอย (sub component) ท

ตดตงอยภายในรวมถงแบตเตอร 10.2 การส ารองขอมลและการกคน

(1) ผใชงานตองรบผดชอบในการส ารองขอมลจากเครองคอมพวเตอรไวบนสอบนทกอน ๆ เชน CD, DVD, External Hard Disk เปนตน

(2) ผใชงานมหนาทเกบรกษาสอขอมลส ารอง (backup Media) ไวในสถานททเหมาะสม ไมเสยงตอการรวไหลของขอมลและทดสอบการกคนขอมลทส ารองไวอยางสม าเสมอ

(3) ผใชงานควรประเมนความเสยงวาขอมลทเกบไวบน Hard Disk ไมควรจะเปนขอมลส าคญเกยวของกบการท างาน เพราะหาก Hard Disk เสยไป กไมกระทบตอการด าเนนการของหนวยงาน

11. การบรหารจดการการเขาถงขอมลตามระดบชนความลบ

11.1 ผดแลระบบ ตองก าหนดชนความลบของขอมล วธปฏบตในการจดเกบขอมลและวธปฏบตในการควบคมการเขาถงขอมลแตละประเภทชนความลบทงการเขาถงโดยตรงและการเขาถงผานระบบสารสนเทศ รวมถงวธการท าลายขอมลแตละประเภทชนความลบ

11.2 เจาของขอมล จะตองมการทบทวนความเหมาะสมของของสทธในการเขาถงขอมลของผใชงานเหลานอยางนอยปละ 1 ครง เพอใหมนใจไดวาสทธตาง ๆ ทใหไวยงคงมความเหมาะสม

11.3 วธปฏบตในการควบคมการเขาถงขอมลแตละประเภทชนความลบทงการเขาถงโดยตรงและการเขาถงผานระบบสารสนเทศ ผดแลระบบตองก าหนดชอผใชงาน (username) และรหสผาน (password) เพอใชในการตรวจสอบตวตนจรงของผใชขอมลในแตละชนความลบขอมล

11.4 การรบสงขอมลส าคญผานเครอขายสาธารณะ ควรไดรบการเขารหส (encryption) ทเปนมาตรฐานสากล เชน SSL, VPN หรอ XMLEncryption เปนตน

11.5 ควรมมาตรการรกษาความมนคงปลอดภยของขอมลในกรณทน าเครองคอมพวเตอรออกนอกพนทของหนวยงาน เชน สงเครองคอมพวเตอรไปตรวจซอม ควรส ารองและลบขอมลทเกบอยในสอบนทกกอน เปนตน

Page 19: เอกสารแนบท้ายประกาศ ...203.159.216.99/web/images/download/REO4-ict02.pdf · เอกสารแนบท้ายประกาศ เรื่อง

- 17 -

12. การควบคมการใชงานระบบจดหมายอเลกทรอนกส (e-mail) 12.1 การใชงานส าหรบผใชงาน

(1) ผใชงานทตองการใชงาน e-mail ของหนวยงานตองท าการกรอกขอมลค าขอเขาใชงานและ ยนค าขอกบเจาหนาทเพอด าเนนการก าหนดสทธชอผใชงานรายใหมและรหสผาน (password)

(2) เมอไดรบรหสผาน (password) จะตองเปลยนรหสผาน (password) โดยทนท หลงจากการเขาสระบบเปนครงแรก

(3) ตองใช e-mail ของหนวยงานเพอตดตองานของราชการเทานน (4) ไมควรใช e-mail address ของผอนเพออาน รบสงขอความ ยกเวนแตจะไดรบการ

ยนยอมจากเจาของ e-mail และใหถอวาเจาของ e-mail เปนผรบผดชอบตอการใชงานตาง ๆ ใน e-mail ของตน (5) หลงจากการใชงาน ควรลงชอออกจากระบบทกครง เพอปองกนบคคลอนเขาใชงานระบบ (6) ในกรณทตองการสงขอมลทเปนความลบ ผใชงานไมควรระบความส าคญของขอมลลง

ในหวขอจดหมายอเลกทรอนกส (7) ควรตรวจสอบและลบ e-mail ของตนเองทกวน เพอลดปรมาณการใชพนทของระบบ

e-mail ใหเหลอจ านวนนอยทสด (8) ผใชงานมหนาทจะตองรกษาชอผใช (username) และรหสผาน (password) เปน

ความลบไมใหรวไหลไปถงบคคลทไมเกยวของ (9) ปฏบตตามวธการใชงานรหสผาน (password use) ทไดก าหนดไวอยางเครงครด

12.2 แนวทางการควบคมการใชงานส าหรบผดแลระบบ (system administrator) (1) ก าหนดสทธการเขาถงระบบจดหมายอเลกทรอนกสของหนวยงานใหเหมาะสมกบการ

เขาใชบรการของผใชระบบและหนาทความรบผดชอบของผใชงาน (2) ก าหนดจ านวนครงทยอมใหผใชงานใสรหสผาน (password) ผดพลาดไดไมเกน 5 ครง (3) มการทบทวนสทธการเขาใชงานและปรบปรงบญชผใชงาน อยางนอยปละ 1 ครง

หรอเมอมการเปลยนแปลง เชน มการลาออก เปลยนต าแหนง โอน ยาย หรอสนสดการจาง เปนตน (4) มการควบคมการเขาถงระบบตามแนวทางการบรหารจดการเขาถงผใชงาน (user

access management) ทไดก าหนดไวอยางเครงครด

13. การใชงานระบบอนเทอรเนต (internet) 13.1 ก าหนดเสนทางการเชอมตอระบบคอมพวเตอรเพอการเขาใชงานระบบอนเทอรเนตท

เชอมตอผานระบบรกษาความปลอดภยทหนวยงานจดสรรไวเทานน เชน Proxy , firewall เปนตน หามผใชงานท าการเชอมตอระบบคอมพวเตอรผานชองทางอน เชน Dial-Up Modem ยกเวนแตวามเหตผลความจ าเปนและไดรบการอนมตจากผอ านวยการกลมขอมลและสารสนเทศหรอผดแลระบบทไดรบมอบหมายแลวเทานน

13.2 การใชงานเครองคอมพวเตอร จะตองมการตดตงโปรแกรมปองกนไวรสและท าการอดชองโหวกอนทจะท าการเชอมตอระบบอนเทอรเนตผานเวบบราวเซอรของระบบปฏบตการ

13.3 ผใชงานตองเขาถงแหลงขอมลตามสทธทไดรบตามหนาทความรบผดชอบเพอประสทธภาพของระบบเครอขายและความปลอดภยทางขอมลของหนวยงาน และตองไมใชระบบอนเทอรเนตของหนวยงาน

Page 20: เอกสารแนบท้ายประกาศ ...203.159.216.99/web/images/download/REO4-ict02.pdf · เอกสารแนบท้ายประกาศ เรื่อง

- 18 -

เพอหาประโยชนในเชงพาณชยเปนการสวนบคคล และท าการเขาสเวบไซตทไมเหมาะสม เชน เวบไซตทขดตอศลธรรม เวบไซตทม เนอหาอนอาจกระทบกระเทอนหรอเปนภยตอความมนคงแหงชาต ศาสนา พระมหากษตรย หรอเวบไซตทเปนภยตอสงคม หรอละเมดสทธของผอน หรอขอมลทอาจกอความเสยหายใหกบหนวยงาน เปนตน

13.4 หามผใชงานเปดเผยขอมลส าคญทเปนความลบเกยวกบงานของหนวยงานทยงไมไดประกาศอยางเปนทางการผานระบบอนเทอรเนต

13.5 ผใชงานตองระมดระวงการดาวนโหลดโปรแกรมใชงานจากระบบอนเทอรเนต ซงรวมถงการดาวนโหลดการปรบปรงโปรแกรมตาง ๆ ตองเปนไปโดยไมละเมดลขสทธหรอทรพยสนทางปญญา

13.6 ในการใชงานกระดานสนทนาอเลกทรอนกส ผใชงานตองไมเปดเผยขอมลทส าคญและเปนความลบของหนวยงาน ไมเสนอความคดเหน หรอใชขอความทยวย ใหราย ทจะท าใหเกดความเสอมเสยตอชอเสยงของหนวยงาน การท าลายความสมพนธกบบคลากรของหนวยงานอนๆ

13.7 หลงจากใชงานระบบอนเทอรเนตเสรจแลว ใหผใชงานท าการปดเวบบราวเซอรเพอปองกนการเขาใชงานโดยบคคลอน ๆ

14. การใชงานเครอขายสงคมออนไลน (social network)

14.1 อนญาตใหใชงานเครอขายสงคมออนไลนในรปแบบและลกษณะตามทหนวยงานไดก าหนดไวเทานน

14.2 ผใชงานทใชงานเครอขายสงคมออนไลนตองมความตระหนกเรองความมนคงปลอดภยอยเสมอ และตองรบผดชอบหากเกดความเสยหายใด ๆ ทมผลกระทบกบหนวยงานจากการใชงานเครอขายสงคมออนไลน

14.3 หากเกดปญหาจากการใชงานเครอขายสงคมออนไลน ทอาจมผลกระทบกบหนวยงาน ผใชงานตองแจงตอกลมขอมลและสารสนเทศโดยเรวทสด เพอด าเนนการตามความเหมาะสม

15. การจดเกบขอมลจราจรคอมพวเตอร (log) เพอใหขอมลจราจรทางคอมพวเตอร (log) มความถกตองและสามารถระบถงตวบคคลได ใหปฏบต

ดงตอไปน 15.1 จดเกบขอมลจราจรทางคอมพวเตอร (log) ไวในสอเกบขอมลทสามารถรกษาความ

ครบถวน ถกตอง แทจรง ระบตวบคคลทเขาถงสอดงกลาวได และขอมลทใชในการจดเกบ ตองก าหนดชนความลบในการเขาถง

15.2 หามผดแลระบบแกไขขอมลทเกบรกษาไว ยกเวนผตรวจสอบระบบสารสนเทศของหนวยงาน (IT auditor) หรอบคคลทหนวยงานมอบหมาย

15.3 ก าหนดใหมการบนทกการท างานของระบบบนทกการปฏบตงานของผ ใชงาน (application logs) และบนทกรายละเอยดของระบบปองกนการบกรก เชน บนทกการเขา – ออกระบบ บนทกการพยายามเขาสระบบ เปนตน เพอประโยชนในการใชตรวจสอบและตองเกบบนทกไวอยางนอย 90 วน นบตงแตการใชงานสนสดลง

Page 21: เอกสารแนบท้ายประกาศ ...203.159.216.99/web/images/download/REO4-ict02.pdf · เอกสารแนบท้ายประกาศ เรื่อง

- 19 -

15.4 ตองมวธการปองกนการแกไขเปลยนแปลงบนทกตาง ๆ และจ ากดสทธการเขาถงบนทกเหลานนใหเฉพาะบคคลทเกยวของเทานน

หมายเหต : .ใหใชการเกบขอมลจราจรคอมพวเตอร (log) รวมกบ ศนยเทคโนโลยสารสนเทศและการสอสาร ส านกงานปลดกระทรวงศกษาธการ

Page 22: เอกสารแนบท้ายประกาศ ...203.159.216.99/web/images/download/REO4-ict02.pdf · เอกสารแนบท้ายประกาศ เรื่อง

สวนท 2 นโยบายระบบสารสนเทศและระบบส ารองของสารสนเทศ

วตถประสงค

1. เพอใหระบบสารสนเทศของหนวยงาน ใหบรการไดอยางตอเนอง 2. เพอเปนมาตรฐาน แนวทางปฏบตและความรบผดชอบของผดแลระบบในการปฏบตงานใหกบ

หนวยงาน เปนไปอยางเครงครด และตระหนกถงความส าคญของการรกษาความมนคงปลอดภย ผรบผดชอบ

1. กลมขอมลและสารสนเทศ 2. ผดแลระบบทไดรบมอบหมาย

อางองมาตรฐาน - มาตรฐานการรกษาความมนคงปลอดภยในการประกอบธรกรรมทางอเลกทรอนกส (เวอรชน 2.5)

แนวปฏบต

1. ตองพจารณาคดเลอกระบบสารสนเทศทส าคญและจดท าระบบส ารองทเหมาะสมใหอยในสภาพพรอมใชงาน ตามแนวทางตอไปน

1.1 มการจดท าบญชระบบสารสนเทศทมความส าคญทงหมดของหนวยงาน พรอมทงก าหนดระบบสารสนเทศทจะจดท าระบบส ารอง และจดท าระบบแผนเตรยมพรอมกรณฉกเฉน อยางนอยปละ 1 ครง

1.2 ก าหนดใหมการส ารองขอมลของระบบสารสนเทศแตละระบบ และก าหนดความถในการส ารองขอมล หากระบบใดทมการเปลยนแปลงบอย ควรก าหนดใหมความถในการส ารองขอมลมากขน โดยใหมวธการส ารองขอมล ดงน

- ก าหนดประเภทของขอมลทตองท าการส ารองเกบไว และความถในการส ารอง - ก าหนดรปแบบการส ารองขอมลใหเหมาะสมกบขอมลทจะท าการส ารอง เชน การ

ส ารองขอมลแบบเตม (full backup) หรอการส ารองขอมลแบบสวนตาง (incremental backup) - บนทกขอมลทเกยวของกบกจกรรมการส ารองขอมล ไดแก ผด าเนนการ วน/เวลา ชอ

ขอมลทส ารอง ส าเรจ/ไมส าเรจ เปนตน - ตรวจสอบขอมลทงหมดของระบบวามการส ารองขอมลไวอยางครบถวน เชน ซอฟตแวร

ตาง ๆ ทเกยวของกบระบบสารสนเทศ ขอมลคอนฟกกเรชน ขอมลในฐานขอมล เปนตน - จดเกบขอมลทส ารองนนในสอเกบขอมล โดยมการพมพชอบนสอเกบขอมลนนให

สามารถแสดงถงระบบซอฟตแวร วนท เวลาทส ารองขอมล และผรบผดชอบในการส ารองขอมลไวอยางชดเจน - จดเกบขอมลทส ารองไวนอกสถานท ระยะทางระหวางสถานททจดเกบขอมลส ารองกบ

หนวยงานควรหางกนเพยงพอเพอไมใหสงผลกระทบตอขอมลทจดเกบไวนอกสถานทนนในกรณทเกดภยพบตกบหนวยงาน เชน ไฟไหม เปนตน

- ด าเนนการปองกนทางกายภาพอยางเพยงพอตอสถานทส ารองทใชจดเกบขอมลนอกสถานท

Page 23: เอกสารแนบท้ายประกาศ ...203.159.216.99/web/images/download/REO4-ict02.pdf · เอกสารแนบท้ายประกาศ เรื่อง

- 21 -

- ทดสอบบนทกขอมลส ารองอยางสม าเสมอ เพอตรวจสอบวายงคงสามารถเขาถงขอมลไดตามปกต

- จดท าขนตอนปฏบตส าหรบการกคนขอมลทเสยหายจากขอมลทไดส ารองเกบไว - ตรวจสอบและทดสอบประสทธภาพและประสทธผลของขนตอนปฏบตในการกคน

ขอมลอยางสม าเสมอ - ก าหนดใหมการใชงานการเขารหสขอมลกบขอมลลบทไดส ารองเกบไว

2. ตองจดท าแผนเตรยมความพรอมกรณฉกเฉนในกรณทไมสามารถด าเนนการดวยวธการทางอเลกทรอนกส เพอใหสามารถใชงานสารสนเทศไดตามปกตอยางตอเนอง โดยตองปรบปรงแผนเตรยมความพรอมกรณฉกเฉนดงกลาวใหสามารถปรบใชไดอยางเหมาะสมและสอดคลองกบการใชงานตามภารกจ ตามแนวทางตอไปน

2.1 มการจดท าแผนเตรยมความพรอมกรณฉกเฉนในกรณทไมสามารถดาเนนการดวยวธการทางอเลกทรอนกส โดยมรายละเอยดอยางนอย ดงน

(1) มการก าหนดหนาท และความรบผดชอบของผทเกยวของทงหมด (2) มการประเมนความเสยงส าหรบระบบทมความส าคญเหลานน และก าหนดมาตรการ

เพอลดความเสยงเหลานน เชน ไฟดบเปนระยะเวลานาน ไฟไหม แผนดนไหว การชมนมประทวงท าใหไมสามารถเขามาใชระบบงานได เปนตน

(3) มการก าหนดขนตอนปฏบตในการกคนระบบสารสนเทศ (4) มการก าหนดขนตอนปฏบตในการส ารองขอมล และทดสอบกคนขอมลทส ารองไว (5) มการก าหนดชองทางในการตดตอกบผใหบรการภายนอก เชน ผใหบรการเครอขาย

ฮารดแวร ซอฟตแวร เปนตน เมอเกดเหตจ าเปนทจะตองตดตอ (6) การสรางความตระหนก หรอ ใหความรแกเจาหนาทผทเกยวของกบขนตอนการ

ปฏบต หรอ สงทตองท าเมอเกดเหตเรงดวน เปนตน 2.2 มการทบทวนเพอปรบปรงแผนเตรยมความพรอมกรณฉกเฉนดงกลาวใหสามารถปรบใชได

อยางเหมาะสมและสอดคลองกบการใชงานตามภารกจ อยางนอยปละ 1 ครง

3. ตองมการก าหนดหนาทและความรบผดชอบของบคลากร ซงดแลรบผดชอบระบบสารสนเทศ ระบบส ารอง และการจดท าแผนเตรยมพรอมกรณฉกเฉนในกรณท ไมสามารถด า เนนการดวยวธการทางอเลกทรอนกส

4. ตองมการทดสอบสภาพพรอมใชงานของระบบสารสนเทศ ระบบส ารอง และระบบแผนเตรยมพรอมกรณฉกเฉน อยางนอยปละ 1 ครง

5. มการทบทวนระบบสารสนเทศ ระบบส ารอง และระบบแผนเตรยมพรอมกรณฉกเฉน ทเพยงพอตอสภาพความเสยงทยอมรบไดของแตละหนวยงาน อยางนอยปละ 1 ครง

Page 24: เอกสารแนบท้ายประกาศ ...203.159.216.99/web/images/download/REO4-ict02.pdf · เอกสารแนบท้ายประกาศ เรื่อง

สวนท 3 นโยบายการตรวจสอบและประเมนความเสยงดานสารสนเทศ

วตถประสงค

1. เพอใหมการตรวจสอบและประเมนความเสยงของระบบสารสนเทศ 2. เพอเปนการปองกนและลดระดบความเสยงทอาจจะเกดขนกบระบบสารสนเทศ

ผรบผดชอบ

1. กลมขอมลและสารสนเทศ 2. ผตรวจสอบภายใน (internal auditor) หรอ ผตรวจสอบจากภายนอก (external auditor) 3. ผดแลระบบทไดรบมอบหมาย

อางองมาตรฐาน

- มาตรฐานการรกษาความมนคงปลอดภยในการประกอบธรกรรมทางอเลกทรอนกส (เวอรชน 2.5) แนวปฏบต

1. มการตรวจสอบและประเมนความเสยงดานสารสนเทศ โดยมเนอหาอยางนอยดงน 1.1 ตรวจสอบและประเมนความเสยงดานสารสนเทศทอาจเกดขนกบระบบสารสนเทศ

(information security audit and assessment) อยางนอยปละ 1 ครง 1.2 ตรวจสอบและประเมนความเสยงทด าเนนการโดยผตรวจสอบภายในของหนวยงาน

(internal auditor) หรอโดยผตรวจสอบอสระดานความมนคงปลอดภยจากภายนอก (external auditor) เพอใหหนวยงานไดทราบถงระดบความเสยงและระดบความมนคงปลอดภยสารสนเทศ

2. มแนวทางในตรวจสอบและประเมนความเสยงทตองค านงถง อยางนอยดงน

2.1 มการทบทวนกระบวนการบรหารจดการความเสยง อยางนอยปละ 1 ครง 2.2 มการทบทวนนโยบายและมาตรการในการรกษาความมนคงปลอดภยดานสารสนเทศ อยาง

นอยปละ 1 ครง 2.3 มการตรวจสอบและประเมนความเสยงและใหจดท ารายงานพรอมขอเสนอแนะ 2.4 มมาตรการในการตรวจประเมนระบบสารสนเทศ อยางนอย ดงน

(1) ควรก าหนดใหผตรวจสอบสามารถเขาถงขอมลทจ าเปนตองตรวจสอบไดแบบอานไดอยางเดยว

(2) ในกรณทจ าเปนตองเขาถงขอมลในแบบอน ๆ ใหสรางสาเนาส าหรบขอมลนน เพอให ผตรวจสอบใชงาน รวมทงควรท าลายหรอลบโดยทนททตรวจสอบเสรจ หรอตองจดเกบไวโดยมการปองกนเปนอยางด

(3) ควรก าหนดใหมการระบและจดสรรทรพยากรทจ าเปนตองใชในการตรวจสอบระบบบรหารจดการความมนคงปลอดภย

(4) ควรก าหนดใหมการเฝาระวงการเขาถงระบบโดยผตรวจสอบ รวมทง บนทกขอมลลอก แสดงการเขาถงนน ซงรวมถงวนและเวลาทเขาถงระบบงานทส าคญ ๆ

Page 25: เอกสารแนบท้ายประกาศ ...203.159.216.99/web/images/download/REO4-ict02.pdf · เอกสารแนบท้ายประกาศ เรื่อง

- 23 -

(5) ในกรณทมเครองมอส าหรบการตรวจประเมนระบบสารสนเทศ ควรก าหนดใหแยกการตดตงเครองมอทใชในการตรวจสอบ ออกจากระบบใหบรการจรงหรอระบบทใชในการพฒนา และมการจดเกบปองกนเครองมอนนจากการเขาถงโดยไมไดรบอนญาต

Page 26: เอกสารแนบท้ายประกาศ ...203.159.216.99/web/images/download/REO4-ict02.pdf · เอกสารแนบท้ายประกาศ เรื่อง

สวนท 4 นโยบายการสรางความรความเขาใจในการใชระบบสารสนเทศและระบบคอมพวเตอร

วตถประสงค

1. เพอสรางความรความเขาใจในการใชงานระบบสารสนเทศและระบบคอมพวเตอรใหกบผใชงานของหนวยงาน

2. เพอเปนการปองกนการกระท าผดทเกดจากการรเทาไมถงการณของผใชงาน 3. เพอใหการใชงานระบบสารสนเทศและระบบคอมพวเตอร มความมนคงปลอดภย

ผรบผดชอบ

1. กลมขอมลและสารสนเทศ 2. ผดแลระบบทไดรบมอบหมาย

อางองมาตรฐาน

- มาตรฐานการรกษาความมนคงปลอดภยในการประกอบธรกรรมทางอเลกทรอนกส (เวอรชน 2.5) แนวปฏบต

1. จดใหมการฝกอบรมการใชงานระบบสารสนเทศของหนวยงาน อยางนอยปละ 1 ครง หรอ ทกครง ทมการปรบปรงและเปลยนแปลงการใชงานของระบบสารสนเทศ

2. จดท าคมอการใชงานระบบสารสนเทศ และมการเผยแพรทางเวบไซตของหนวยงาน 3. จดฝกอบรมแนวปฏบตตามนโยบายอยางสม าเสมอ โดยการจดฝกอบรมอาจใชวธการเสรมเนอหา

แนวปฏบตตามแนวนโยบายเขากบหลกสตรอบรมตาง ๆ ตามแผนการฝกอบรมของหนวยงาน 4. จดสมมนาเพอเผยแพรแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ

และสรางความตระหนกถงความส าคญของการปฏบตใหกบผใชงาน โดยการจดสมมนาควรจดปละไมนอยกวา 1 ครง โดยอาจจดรวมกบการสมมนาอนดวยกได และอาจเชญวทยากรจากภายนอกทมประสบการณดาน การรกษาความมนคงปลอดภยดานสารสนเทศ มาถายทอดใหความร

5. ตดประกาศประชาสมพนธใหความรเกยวกบแนวปฏบต ในลกษณะเกรดความร หรอขอระวงในรปแบบทสามารถเขาใจและน าไปปฏบตไดงาย โดยมการปรบปรงความรอยเสมอ

6. ระดมการมสวนรวมและลงสภาคปฏบตดวยการก ากบ ตดตาม ประเมนผล และส ารวจความตองการของผใชงาน

*************************************


New เรื่อง วนเกษตรในสวนยางพารา · 2018. 12. 11. · เรื่อง วนเกษตรใน ... การทําสวนยางพาราของไทยในอนาคต

New เรื่อง วนเกษตรในสวนยางพารา · 2018. 12. 11. · เรื่อง วนเกษตรใน ... การทําสวนยางพาราของไทยในอนาคต

แบบฝกทักษะ หนวยการเรียนรูที่ 1 เรื่อง การเคลื่อนที่ ชุดที่ ...stwschool.ac.th/Download/Pra-Skill5.pdf ·

แบบฝกทักษะ หนวยการเรียนรูที่ 1 เรื่อง การเคลื่อนที่ ชุดที่ ...stwschool.ac.th/Download/Pra-Skill5.pdf ·

รายงานความก้าวหน้า เรื่อง การกลับมาของเส้นทางสายไหมใหม่

รายงานความก้าวหน้า เรื่อง การกลับมาของเส้นทางสายไหมใหม่

ใบความรู้ เรื่อง ที่รองแก้วล้ำเลอค่า

ใบความรู้ เรื่อง ที่รองแก้วล้ำเลอค่า

New เรื่อง งานออกแบบอาคารส านักงาน ...203.155.220.238/csc/attachments/article/1402/architect... · 2018. 1. 19. · เรื่อง

New เรื่อง งานออกแบบอาคารส านักงาน ...203.155.220.238/csc/attachments/article/1402/architect... · 2018. 1. 19. · เรื่อง

เรื่อง การสื่อสารข้อมูลเบื้องต้น

เรื่อง การสื่อสารข้อมูลเบื้องต้น

เรื่อง สิ่งมีชีวิตดัดแปร ...it.nrru.ac.th/pisa/pages/download/download/GMOs... · 2020. 5. 16. · วิทยาศาสตร์:

เรื่อง สิ่งมีชีวิตดัดแปร ...it.nrru.ac.th/pisa/pages/download/download/GMOs... · 2020. 5. 16. · วิทยาศาสตร์:

แบบฝกทักษะชุดที่ 1 เรื่อง เอกนาม · - 2 - แบบฝกทักษะชุดที่ 1 เรื่อง เอกนาม

แบบฝกทักษะชุดที่ 1 เรื่อง เอกนาม · - 2 - แบบฝกทักษะชุดที่ 1 เรื่อง เอกนาม

ค าชี้แจง เรื่อง สังคมของเรา · 5 เรื่อง พลเมืองดีในสังคมไทย เล่มที่

ค าชี้แจง เรื่อง สังคมของเรา · 5 เรื่อง พลเมืองดีในสังคมไทย เล่มที่

เศรษฐกิจพอเพียง เรื่อง ฝายกั้นน้ำ

เศรษฐกิจพอเพียง เรื่อง ฝายกั้นน้ำ

เรื่อง อินเตอร์เน็ต

เรื่อง อินเตอร์เน็ต

สรุปการอภิปราย เรื่อง บทบาทของประชาชนในการอนุรักษ์สิ่งแวดล้อม

สรุปการอภิปราย เรื่อง บทบาทของประชาชนในการอนุรักษ์สิ่งแวดล้อม

งานวิจัยในชั้นเรียน เรื่อง การพัฒนาทักษะอ่านออกเสียงคํ ...¸¨ูนย์วิจัยและพัฒนา... ·

งานวิจัยในชั้นเรียน เรื่อง การพัฒนาทักษะอ่านออกเสียงคํ ...¸¨ูนย์วิจัยและพัฒนา... ·

งานวิจัยในชั้นเรียน เรื่อง ปี ... · 2020. 9. 21. · เรื่อง ... 1.2.4 the hundreds (หลักร้อย) ได้แก่

งานวิจัยในชั้นเรียน เรื่อง ปี ... · 2020. 9. 21. · เรื่อง ... 1.2.4 the hundreds (หลักร้อย) ได้แก่

บทละครพูด เรื่อง เห็นแก่ลูก

บทละครพูด เรื่อง เห็นแก่ลูก

การบรรยาย เรื่อง

การบรรยาย เรื่อง

ชุดการสอนประกอบการเรียนรู้ เรื่อง การอนุรักษ์นาฏศิลป์และภูมิปัญญาท้องถิ่น

ชุดการสอนประกอบการเรียนรู้ เรื่อง การอนุรักษ์นาฏศิลป์และภูมิปัญญาท้องถิ่น

รายงานการวิจัั้นเรย ... · รายงานการวิจัั้นเรยในชียน. เรื่อง. การศึกษาการแก

รายงานการวิจัั้นเรย ... · รายงานการวิจัั้นเรยในชียน. เรื่อง. การศึกษาการแก

เรื่อง - dltv.ac.th

เรื่อง - dltv.ac.th

โครงงานคอมพิวเตอร์ เรื่อง ดาวฤกษ์

โครงงานคอมพิวเตอร์ เรื่อง ดาวฤกษ์